قدرت هکرهای ایرانی

دنیای اقتصاد: AI Squared شرکت ماموریت محور کوچکی است که در گوشه‌ای از کمپانی Vermont فعالیت‌های خود را انجام می‌دهد. این شرکت نرم‌افزارهای تولیدشده توسط وب‌سایت‌ها را برای افرادی که اختلال بینایی دارند تغییر می‌دهد و هیچ‌گاه فکر نمی‌کرد روزی توسط هکرهای ایرانی هک شود!

اما شرکت AI Squared مدرک زنده‌ای است برای اثبات اینکه هر شرکت آمریکایی، چه به بزرگی مایکروسافت باشد چه کوچک، می‌تواند یکی از قربانیان احتمالی حمله هکرها باشد. در حقیقت، AI Squared تنها شرکت خصوصی آمریکایی است که تا به امروز حمله به آن توسط گروهی از جوانان ایرانی با نام OilRig کشف شده است. OilRig که کار خود را در اواخر ۲۰۱۵ آغاز کرد، حالا یکی از فعال‌ترین گروه‌های هکری است.وب‌سایت FORBES تعدادی از هدف‌های این گروه را برای اولین بار در روز چهارشنبه معرفی کرده است که نفوذ سریع این گروه در سراسر جهان در کمتر از یک سال را نشان می‌دهد.Collin Anderson محقق فعال در ایالت واشنگتن که در حال جمع‌آوری گزارشی کامل و جامع از قدرت سایبری ایران است، در این باره می‌گوید: «نکته جالب درباره OilRig تمرکز و تمایل بالای این گروه روی بخش‌های خصوصی خارجی است. هنوز از نوع اطلاعات به سرقت رفته از سازمان‌های آمریکایی توسط گروه OilRig خبری به دست نیامده است. معروف‌ترین حمله مخرب انتساب داده شده به هکرهای ایرانی به سال ۲۰۱۴ و نفوذ به سیستم کازینو Sand در لاس‌وگاس بر‌می‌گردد.

حمله چگونه صورت گرفت؟

مشکلات AI Squared از هفته‌ دوم ژانویه و زمانی که از شرکت امنیتی Symantec اخطاریه دریافت کردند، آغاز شد. در اخطاریه آمده بود، مدارکی که صحت و اعتبار تکنولوژی شرکت را تایید می‌کنند، مورد سرقت قرار گرفته‌اند. آنچه که Symantec به آن اشاره نکرد بود و حالا AI Squared در حال تحقیق درباره آن است، ارتباط و دخالت OilRig در این سرقت اینترنتی است.به گفته Forbes این گروه با سرقت مدارک AI Square قصد رد پوشانی بدافزار خودشان را داشته‌اند. در گزارش منتشر شده در اوایل ژانویه توسط شرکت امنیتی ClearSky آمده که هدف از حملات این گروه ایرانی، قانونی جلوه دادن ابزارهای نظارتی روی اهداف مورد نظرشان در خاورمیانه، اروپا و ایالات متحده بوده است. ClearSky می‌گوید گروه
OilRig ابزارهای سرقت اطلاعات خود را به شکل 2صفحه اینترنتی با ظاهر مشابه صفحات دانشگاه آکسفورد منتشر کرده که یکی از صفحات استخدام در موسسه آکسفورد و دیگری صفحه‌ ثبت‌نام در یک کنفرانس بوده است. هر دو صفحه بازدیدکنندگان را تشویق به دانلود اسناد برای تکمیل ثبت نام در کنفرانس و دریافت فرم رزومه برای استخدام در موسسه آکسفورد می‌کرده است. با کلیک روی گزینه دانلود، بدافزاری با نام Helminth اجرا می‌شد که اعضای گروه OilRig با کنترل کامپیوتر قربانی، اطلاعات او را به سرقت می‌بردند.در سال‌های گذشته خیلی از سازمان‌ها قربانی حملات تیم OilRig شده‌اند. سازمان‌های امنیتی معتقدند OilRig کنترل ایمیل‌های بسیاری از صنایع عمومی و خصوصی را در اختیار گرفته‌اند و با دسترسی به این ایمیل‌ها موفق به گسترش فعالیت‌هایشان در ایالات متحده، عربستان سعودی، ترکیه و دیگر کشورها شده‌اند.

یکی از ایمیل‌های فریبنده‌ این گروه که از سوی Forbes.com در جولای 2016 منتشر شد، به آدرس ایمیل سه نفر از مقامات وزارت خارجه‌ ترکیه فرستاده شده بود. این افراد شامل مشاور نماینده ترکیه در سازمان ملل، یکی از کارمندان سفارت ترکیه در لتونی و یکی دیگر از مقامات ترکیه‌ای می‌شد. ایمیل‌ها ظاهرا از طرف یک شرکت هواپیمایی رسمی در ترکیه ارسال شده بودند و این یعنی این گروه موفق به سرقت اطلاعات این شرکت هواپیمایی و ساختن اکانت‌های جعلی با نام آنها شده‌اند. پیام داخل ایمیل دریافت‌کننده را تشویق به وارد کردن اطلاعات ورود به اکانت از طریق باز کردن یک فایل اکسل می‌کرد. پس از کلیک روی فایل اکسل، بدافزار Helminth شروع به کار می‌کرد.البته مشاور نماینده ترکیه در سازمان ملل گفته که هیچ‌وقت این ایمیل را ندیده و روی آن کلیک نکرده است. دیگر افراد مورد هدف قرار گرفته نیز هیچ گونه اظهار نظری در این رابطه نکرده‌اند. شرکت هواپیمایی ترکیه نیز هیچ نظری در این‌باره اعلام نکرد. به‌رغم اینکه ایمیل منتشرشده از طرف OilRig، افراد مورد هدف را نشان می‌دهد، اما هنوز از موفقیت‌آمیز بودن سرقت اسناد هیچ اطلاعاتی به دست نیامده است.

حمله به صنایع خاص

OilRig به کمپانی‌های خصوصی هم حملاتی داشته است. ایمیل جدید کشف‌شده در ماه می‌2016 نشان می‌دهد که این هکرها از سرورهای شرکت Al-Elm تامین‌کننده امنیت آی‌تی دولت عربستان، برای ارسال ایمیل‌ها استفاده کرده‌اند. ایمیل‌های منتشر شده از سوی محققان امنیتی ثابت می‌کند که این گروه به شرکت Al-Elm نیز نفوذ داشته‌اند.این پیام در میان ایمیل‌های در حال رد و بدل بین شرکت Al-Elm و موسسه مالی Samba یکی از بزرگ‌ترین وام‌دهندگان در عربستان، جاسازی شده بود. این پیام حاوی کیت نظارتی بدافزار Helminth بود و به محض اینکه دریافت‌کننده فایل پیوست را باز می‌کرد، اجرا می‌شد. فایل اکسل اجرایی در این ایمیل «Notes.xls» نام داشت. تا به‌حال هیچ‌کدام از شرکت‌های Al-Elm و Samba در این‌باره اظهار نظر نکرده‌اند.طبق گزارش منتشر شده از شرکت امنیت سایبری SecureWorks، گروه OilRig در ژانویه امسال ایمیل‌های حاوی بدافزار را از طریق سرورهای قانونی یکی از بزرگ‌ترین تامین‌کنندگان امنیت آی‌تی عربستانی و یک شرکت ارائه‌دهنده خدمات آی‌تی مصری با نام ITWorkx ارسال کرده است. مشخص است که با استفاده از این اکانت‌های ایمیل، شرکتی نامعلوم در خاورمیانه مورد هدف قرار گرفته است. متن ایمیل‌های ارسالی نیز درباره لینک‌های پیشنهاد کار و استخدام بوده‌اند. فایل پیوستی نیز PupyRAT نام داشته که نوعی ویروس تروجان با قابلیت کنترل از راه دور از طریق پلت‌فرم‌های اندرویدی، لینوکسی و ویندوزی است.